　　CTI論壇（ctiforum.com）（編譯/老秦）： WebRTC是一項相當新的技術(shù)。它使人們可以直接從瀏覽器進行通信，無需下載或安裝 -- 包括語音和視頻呼叫。

　　我的一個客戶正在與一家大型企業(yè)談判達成協(xié)議。他們想部署基于WebRTC的服務(wù)。當進入實質(zhì)性階段時，企業(yè)方面的IT專家面臨著“我聽說WebRTC不安全”的說法。我的客戶沒有為此做好準備，安全成了一個需要回答的問題。

　　從那時起，我們就如何解決這個問題進行了頭腦風暴，確保弄清楚他們使用的信號的細節(jié)（該部分適用于使用WebRTC保護的開發(fā)人員）。我們已經(jīng)解決了問題，我們認為WebRTC是企業(yè)可部署的安全解決方案，原因如下：

　　1、WebRTC設(shè)計安全

　　Tsahi Levent-Levi

　　WebRTC是我所知道的唯一一種默認情況下會加密所有通信的VoIP標準。

　　在之前的所有標準中，身份驗證和加密方面的安全性排在第二位。它們最多是可選的，并且通常在實際過程中被禁用。

　　使用WebRTC這是不可能的，因為所有會話都會加密并且只要您的通信持續(xù)就會保持這種狀態(tài)。

　　這種對隱私的關(guān)注不僅僅是規(guī)范的一部分，而且也是WebRTC的一個過程，這導(dǎo)致了下一個原因 --

　　2、提出的安全問題得到解決

　　WebRTC已合并到瀏覽器中。瀏覽器應(yīng)該是安全的，因為我們的日常辦公室生活很多都發(fā)生在他們面前。為此，所有瀏覽器都有短暫的發(fā)布時間表，范圍從幾周到幾個月，在需要時可以部署安全補丁。除非另有配置，瀏覽器也會自動更新。新的瀏覽器版本將在幾天內(nèi)被采集并采用。

　　有兩個方面表明了對安全性的關(guān)注 -- IP泄漏問題和模糊測試。

IP泄漏：幾年來，人們一直抱怨WebRTC在協(xié)商過程中共享本地IP地址，這是所有VoIP產(chǎn)品只是為了讓他們的會話連接起來的事情。使用WebRTC這有點棘手，因為該信息通過瀏覽器傳遞，從而可以訪問應(yīng)用程序和任何加載的擴展，作為流程的一部分。目前正在嘗試使用mDNS地址替換本地IP地址的解決方案。這個過程本身遠非完美，但它正在WebRTC的規(guī)范和實施層面得到解決和處理。
模糊測試：Google有一個名為Project Zero的東西，他們讓開發(fā)人員在不同產(chǎn)品中找到零日漏洞。他們最近的嘗試讓他們宣傳了一些iOS問題。對于視頻會議，他們繼續(xù)嘗試使用稱為模糊測試的技術(shù)來崩潰和刻錄不同的應(yīng)用程序。在這個過程中，他們發(fā)現(xiàn)并提交了幾個針對WebRTC的錯誤（后來修復(fù)了）。

　　WebRTC正在認真對待安全問題�？赡鼙却蠖鄶�(shù)其他供應(yīng)商更多。

　　3、專有解決方案有他們自己未知的威脅

　　使用專有解決方案時，您將受到該解決方案開發(fā)人員的支配。潛在威脅比已經(jīng)知道許多威脅的開放標準更多。

　　WebRTC開辟了使用瀏覽器和減少通信摩擦的能力，將許多安全問題從供應(yīng)商轉(zhuǎn)移到瀏覽器供應(yīng)商。不使用WebRTC的供應(yīng)商？他們的解決方案可能會引發(fā)一些有趣的安全挑戰(zhàn)。

　　Zoom最簡單和最有效的服務(wù)最近被發(fā)現(xiàn)存在嚴重的安全問題。

　　專有解決方案可能是安全的，但除了依賴告訴您的供應(yīng)商之外，您無法控制或了解該解決方案的實際真實情況。

　　4、每個人都在使用WebRTC

　　讓我們從Gartner的2019年UCaaS魔力象限開始：

　　Gartner UCaaS Magic Quadrant 2019

Google Meet，Hangouts，Duo和Voice都使用WebRTC
Microsoft Teams使用WebRTC
RingCentral在其語音產(chǎn)品中使用WebRTC
8×8使用WebRTC。他們從Atlassian收購了Jitsi，Atlassian是一個受歡迎的開源視頻服務(wù)提供商。8×8會議已經(jīng)在使用Jitsi（= WebRTC）
思科在Webex中使用WebRTC
Fuze使用WebRTC
Dialpad使用WebRTC
LogMeIn使用WebRTC
ALE使用WebRTC
Mitel，StarBlue和Windstream是關(guān)于WebRTC使用的唯一未知數(shù)

　　企業(yè)非常適合部署基于WebRTC的服務(wù)。所有行業(yè)都是如此，包括金融和醫(yī)療等高度監(jiān)管的行業(yè)。

　　甚至Zoom，他們不想使用WebRTC，現(xiàn)在在瀏覽器中使用Zoom時，正在使用WebRTC中的數(shù)據(jù)通道。

　　WebRTC安全嗎？

　　下一次潛在的企業(yè)客戶告訴您WebRTC不安全時，只需將其打印出來并請他閱讀。 WebRTC是一種非常適合統(tǒng)一通信，聯(lián)絡(luò)中心的解決方案 -- 任何用戶需要通過語音或視頻進行通信的系統(tǒng)。

　　聲明：版權(quán)所有非合作媒體謝絕轉(zhuǎn)載

　　作者：Tsahi Levent-Levi

　　原文網(wǎng)址：https://www.uctoday.com/unified-communications/webrtc-for-the-security-conscious-enterprise/